希捷GoFlex家庭存储设备SaaSweb服务受XSS和MitM攻击威胁

2018-01-26 15:26 标签: MitM攻击威胁,网络安全

  外媒1月23日消息,安全专家发现超过3.3万个希捷GoFlex家庭网络存储(NAS)设备容易暴露于公网,或引来跨站脚本(XSS)和中间人(MitM)攻击。虽然目前希捷已经修补了Personal Cloud和GoFlex产品中的XSS漏洞,但不幸的是,仍有一些问题尚未解决。

  安全专家Sood介绍,GoFlex家庭NAS设备在seagateshare.com上运行了一个可访问的Web服务,允许用户远程管理设备及其内容,并且可以通过设备名称和登录凭证来访问存储。而GoFlex固件则运行着一个HTTP服务器,要求用户在路由器上启用端口转发,以便连接到web服务。

希捷GoFlex家庭存储设备SaaSweb服务受XSS和MitM攻击威胁

  跨站脚本(XSS)和中间人(MitM)攻击

  安全专家Sood注意到虽然HTTP服务器支持过时的协议SSLv2和SSLv3,而Web服务seagateshare.com支持SSLv3。不过这两种协议都能将用户暴露给MiTM攻击(包括DROWN和POODLE攻击)。

  此外,Sood还在seagateshare.com网站上发现了一个XSS,攻击者可以利用该XSS在用户的浏览会话中执行恶意代码,欺骗受害者点击特制链接。

  目前希捷只修复了XSS漏洞,似乎并没有计划修复与SSLv2和SSLv3相关的一些问题。

  消息来源:SecurityAffairs,HackerNews.cc编译整理,封面来源于网络;

  以上为正文内容。

  网堤安全-专业的云安全解决方案综合服务商!

  转载请注明:网堤安全https://www.ddos.com

 

 

 

行业资讯 Industry Information

关于我们

About Us